Falco
Qu'est-ce que Falco ?
FalcoMoteur open source de securite runtime cloud-native qui detecte les comportements anormaux des conteneurs, des hotes et de Kubernetes en transmettant les appels systeme et les evenements d'audit a un moteur de regles.
Falco est un outil de runtime security sous licence Apache 2.0, cree a l'origine par Sysdig puis donne a la Cloud Native Computing Foundation (CNCF), ou il a atteint le statut Graduated en 2024. Il consomme les appels systeme Linux via une sonde eBPF ou un module noyau, ainsi que les audit logs Kubernetes et des sources d'evenements enfichables (AWS CloudTrail, Okta, GitHub), evaluees contre un jeu de regles en YAML. Les regles livrees detectent les evasions de conteneur, les shells dans un conteneur, les ecritures sous /etc, les connexions sortantes inattendues et l'elevation de privileges. Les operateurs envoient les alertes a falcosidekick, qui peut les retransmettre vers Slack, OpsGenie, Loki ou un SOAR. Falco est la couche runtime de reference dans les SOC Kubernetes-natifs, complete par des controleurs d'admission comme Kyverno.
● Exemples
- 01
Lever une alerte lorsqu'un shell est lance dans un conteneur nginx de production (regle Terminal shell in container).
- 02
Detecter un pod montant /var/run/docker.sock et tentant de s'evader vers l'hote.
● Questions fréquentes
Qu'est-ce que Falco ?
Moteur open source de securite runtime cloud-native qui detecte les comportements anormaux des conteneurs, des hotes et de Kubernetes en transmettant les appels systeme et les evenements d'audit a un moteur de regles. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Falco ?
Moteur open source de securite runtime cloud-native qui detecte les comportements anormaux des conteneurs, des hotes et de Kubernetes en transmettant les appels systeme et les evenements d'audit a un moteur de regles.
Comment fonctionne Falco ?
Falco est un outil de runtime security sous licence Apache 2.0, cree a l'origine par Sysdig puis donne a la Cloud Native Computing Foundation (CNCF), ou il a atteint le statut Graduated en 2024. Il consomme les appels systeme Linux via une sonde eBPF ou un module noyau, ainsi que les audit logs Kubernetes et des sources d'evenements enfichables (AWS CloudTrail, Okta, GitHub), evaluees contre un jeu de regles en YAML. Les regles livrees detectent les evasions de conteneur, les shells dans un conteneur, les ecritures sous /etc, les connexions sortantes inattendues et l'elevation de privileges. Les operateurs envoient les alertes a falcosidekick, qui peut les retransmettre vers Slack, OpsGenie, Loki ou un SOAR. Falco est la couche runtime de reference dans les SOC Kubernetes-natifs, complete par des controleurs d'admission comme Kyverno.
Comment se défendre contre Falco ?
Les défenses contre Falco combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Falco ?
Noms alternatifs courants : securite runtime Falco, Sysdig Falco.
● Termes liés
- defense-ops№ 367
Securite eBPF
Utilisation de programmes eBPF (extended Berkeley Packet Filter) executes dans le noyau Linux pour fournir une observabilite profonde et une application de politiques sur les processus, le reseau et les appels systeme.
- defense-ops№ 212
Analyse d'images de conteneurs
Pratique consistant a analyser des images OCI/Docker pour y reperer vulnerabilites connues, secrets, malwares et violations de politique avant deploiement vers un runtime de conteneurs.
- cloud-security№ 600
Sécurité de Kubernetes
Protection d'un cluster Kubernetes — son API server, son plan de contrôle, ses nœuds, ses workloads et son réseau — contre les mauvaises configurations, les compromissions et le mouvement latéral.
● Voir aussi
- № 1175Trivy